La transformación digital que está teniendo lugar en prácticamente todos los sectores del mercado, está causando que las organizaciones sean cada vez más eficientes en sus procesos de negocio. Aunque el impacto causado por el uso de las nuevas tecnologías es tremendamente positivo, debemos también ser conscientes de las nuevas amenazas y riesgos, resultado de depender tanto de los sistemas digitales de información y comunicación. Por tanto, es prioritario contar con mecanismos de protección robustos que garanticen la seguridad de los datos que estos sistemas almacenan y procesan.
La criptografía ofrece mecanismos eficaces para proteger la confidencialidad, la integridad y la autenticidad de la información en reposo, en tránsito e incluso mientras está siendo procesada. Sin embargo, y sobre todo desde un punto de vista práctico, todavía quedan retos y desafíos por resolver que se convierten a su vez en nuevas oportunidades.
Tradicionalmente la criptografía se utiliza para proteger la confidencialidad y la integridad de la información almacenada y en tránsito por medio del cifrado y la firma digital. Hoy en día, y gracias a la aparición de criptosistemas avanzados, también es posible utilizar la criptografía para proteger la información mientras es procesada.
Aunque la criptografía ofrece mecanismos eficaces para la protección de datos, desde un punto de vista práctico todavía quedan muchos retos que resolver, especialmente en términos de un despliegue y uso correcto de la misma.
Reto 1: Gestión de claves
El uso de la criptografía viene asociado al uso de claves criptográficas, lo cual implica la necesidad de gestionarlas. La Gestión de claves es uno de los aspectos más críticos para aquellas organizaciones que tratan con requisitos de privacidad y seguridad. Sin embargo, en la mayoría de los casos, el diseño e implementación de prácticas de gestión de claves es una actividad que se pasa por alto en la mayoría de organizaciones. Las claves criptográficas se utilizan en muchos procesos de negocio con diferentes propósitos como el cifrado de discos, la firma digital, autenticación, comunicaciones seguras, carteras de blockchain, etc. Delegar la responsabilidad de su control y custodia al usuario final puede llevar a varios problemas. Uno de ellos es el robo de la clave, que puede impactar muy negativamente en la reputación de las empresas, ya que la clave puede ser usada por personas no autorizadas para acceder a activos críticos o puede ser usada para hacerse pasar por uno de los empleados de la compañía, resultando probablemente en consecuencias serias. Otro problema importante es la pérdida de la clave. Si el usuario pierde el acceso a sus claves criptográficas podría perder el acceso a los activos protegidos por esa clave, creando incluso una interrupción en el negocio de la empresa y en algunos casos una interrupción definitiva. Por estas razones es muy importante hacer una gestión del ciclo de vida de las claves correcta.
Dos de las partes más importantes de la gestión del ciclo de vida de las claves son la generación almacenamiento seguro de las mismas. Dispositivos dedicados a este propósito como los Hardware Security Modules (HSMs) son una alternativa segura. Los HSMs son servidores criptográficos basados en hardware que proporcionan un entorno seguro para almacenar claves criptográficas y secretos, garantizando la seguridad, privacidad e integridad de operaciones sensibles y transacciones que involucran a esas claves y secretos.
Una de las formas en las que las empresas están adoptando el uso de HSMs es para cumplir con las regulaciones y recomendaciones hechas por los gobiernos. Un ejemplo de las mismas son eIDAS (que define el marco de firma electrónica europeo), PSD2 (que regula los métodos de pago digitales) y GDPR (que define la ley europea de protección de datos).
A pesar de que los beneficios de los HSMs son claros, estos dispositivos tienen un coste muy alto, requieren de experiencia técnica específica para su despliegue y administración y tienen un factor limitante importante debido a su falta de flexibilidad y escalabilidad.
Gradiant lidera ÉGIDA, la primera red nacional Cervera para la protección de la privacidad. Parte de la investigación de Gradiant dentro de esta alianza de centros tecnológicos de excelencia se centra en maximizar el uso de los HSMs proporcionando una solución software que simplifica la gestión de los HSMs y habilita a los bancos y a los proveedores de firma electrónica a usarlos de manera más eficiente. Resuelve la necesidad que tienen estas empresas de integrar sus aplicaciones de negocio con HSMs para cumplir con la legislación vigente a un coste razonable.
Reto 2: Utilización correcta de algoritmos criptográficos
No solo es importante hacer una gestión de claves correcta sino que a la hora de utilizar la criptografía es muy importante utilizar algoritmos y tamaños de claves que se consideren seguros. Por ejemplo, no se recomienda usar ni el cifrador de flujo RC4 y el cifrador de bloques DES porque hoy en día se consideran inseguros. Como guía para la elección de algoritmos y tamaños de clave el National Institute of Standards and Technology (NIST) de Estados Unidos ha publicado el documento SP 800-57 in tres partes (parte 1, parte 2 y parte 3). Estos documentos también sirven de guía sobre la gestión de claves.
La mayoría de las veces la gente no decide programar sus propios algoritmos criptográficos, y la alternativa más apropiada es utilizar aplicaciones y bibliotecas criptográficas que han sido ampliamente revisadas, pero incluso en esos casos estas pueden contener bugs que lleven a vulnerabilidades de seguridad. Por esta razón es importante seguir buenas prácticas en el uso de la criptografía, tales como utilizar software tan actualizado como sea posible, configurar los algoritmos de forma correcta, aplicar los parches de seguridad cuando son lanzados y estar atento a los boletines informativos de seguridad y dejar de utilizar un software una vez que se encuentra una vulnerabilidad en el mismo hasta que ésta no haya sido corregida.
Reto 3: Adaptación de los algoritmos a nuevos escenarios
En los últimos años el Internet de las cosas (IoT) ha experimentado un crecimiento enorme. Los dispositivos IoT están en todas partes y su número crece cada día. Por esta razón es muy importante proteger los datos consumidos y producidos por estos dispositivos así como sus comunicaciones. Las capacidades restringidas de procesamiento y almacenamiento de los dispositivos IoT hacen que los algoritmos de criptografía convencional no sean suficientemente eficientes para ser usados en las redes de dispositivos IoT.
Por esta razón se está estudiando la aplicación de algoritmos de criptografía ligera (hechos a medida para este tipo de dispositivos), tanto de clave simétrica como de clave pública, que ofrecen un equilibrio aceptable entre seguridad y rendimiento. Es importante resaltar que en este campo el NIST está llevando a cabo una importante tarea en cuanto a la estandarización de estos mecanismos ligeros. Cabe destacar los algoritmos PRESENT y RECTANGLE (de clave simétrica) y el algoritmo de EC ligera (de clave pública).
Aunque los mecanismos existentes son eficaces es necesario maximizar su adopción, facilitando su uso e integración con los procesos de negocio de las empresas. Por otra parte, resulta imprescindible proporcionar soluciones que agilicen y reduzcan los costes asociados a los procesos de actualización de los algoritmos criptográficos cuando estos se vean vulnerados por diversos motivos, como por ejemplo, ante al aumento de la capacidad de computación y la llegada de los ordenadores cuánticos.
No solo es importante crear conciencia sobre el uso de mecanismos criptográficos sino también sobre su utilización de manera correcta. Una mala configuración o la elección de una técnica de cifrado no apropiada son el origen de muchos ciberataques. Tanto es así que existe un gran número de sectores del mercado, fuertemente regulados, que exigen el cumplimiento de certificaciones con requisitos específicos de seguridad criptográfica, y en los que se concretan aspectos como el tipo y longitud de claves criptográficas o los métodos y algoritmos particulares a utilizar.
ÉGIDA es una red de excelencia financiada por el Programa Cervera para Centros Tecnológicos, la apuesta nacional para desarrollar investigación orientada al mercado impulsada por el Ministerio de Ciencia e Innovación y el Centro de Desarrollo Tecnológico Industrial (CDTI).